Come faranno gli utenti a sapere se la loro sessione è protetta da DNSSec o no?

4

Esiste un sicuro valore di sicurezza nell'avere connessioni verificate da DNSSec, tuttavia non ho ancora visto il software indicare se la connessione è sicura.

In definitiva, vorrei che i miei utenti riconoscessero che DNSSec è una soluzione più sicura, e che preferisco o la richiede quando tratta le nostre transazioni commerciali. Ci darebbe un vantaggio competitivo.

What are my options to get users to see that they are more secure with DNSSec? They don't have to understand it, and it's better if they don't have to go trolling though menus to determine this. Suggestions such as Browser plug-ins or solutions for LoB applications are more than welcome.

È un peccato che i certificati EV siano quelli che evidenziano l'URL in verde. Ritengo che DNSSec rappresenti un miglioramento di sicurezza fondamentale rispetto a EV, che essenzialmente è Security Theater in confronto .

    
posta random65537 25.09.2011 - 17:08
fonte

1 risposta

7

Credo fermamente che l'uso puro di DNSSEC non dovrebbe essere indicato all'utente. DNSSEC garantisce solo che le ricerche DNS non vengano manomesse da terze (quarte?) Parti.

DNSSEC non garantisce che la connessione sia realmente stabilita con l'indirizzo IP restituito né che nessun utente malintenzionato stia ascoltando i dati. Quindi DNSSEC così puro è troppo complicato da comprendere per un utente medio rispetto al piccolo guadagno in sicurezza.

Un approccio interessante è quello di pubblicare la chiave SSL pubblica tramite DNSEC invece di o in aggiunta all'utilizzo delle tradizionali autorità di certificazione SSL. Questo risolve uno dei problemi principali dell'approccio tradizionale: al momento qualsiasi autorità di certificazione SSL (transitiva) attendibile può firmare i certificati per qualsiasi dominio. Con un approccio basato su DNSSEC, solo l'autorità responsabile per il dominio di primo livello può firmare. Ciò riduce notevolmente la superficie di attacco. (E mette un sacco di potere alle autorità di dominio)

L'indicazione visiva di "SSL con chiave pubblica pubblicata tramite DNSSEC" dovrebbe essere simile a SSL utilizzando i certificati EV. Dubito che vediamo l'approccio tradizionale di andare via presto perché ci sono molti soldi coinvolti.

    
risposta data 25.09.2011 - 17:44
fonte

Leggi altre domande sui tag